ldb-tools nach Badlock

Viele Samba-Nutzer erhalten nach dem Update auf einem wegen des badlock-Bug gepatchten Systems Fehlermeldungen beim Zugriff auf die Datenbank mit den ldb-tools. Dabei spielt es keine Rolle, ob Sie den Zugriff über ldaps:// oder ldap:// durchführen. Um dieses Problem zu lösen gibt es zwei verschiedene Lösungen:
1. Sie passen die Datei smb.conf auf Ihrem Domaincontroller dahingegen an, dass Sie die Überprüfung und Sicherheit die durch den Patch eingespielt wurden abschalten, dass können Sie über die Parameter:
– tls verify peer = no_check
– ldap server require strong auth = no
Dabei werden die RPC-Zugriffe zwar immer noch über TLS abgesichert, aber die Zertifikate werden nicht ausreichend auf Gültigkeit geprüft. Alles funktioniert anschließend so wie Sie es gewöhnt sind.

2. Sie verwenden nur noch Kerberos für die Authentifizierung zusammen mit ldap://. Ja, ein Zugriff über ldap:// zusammen mit einer Authentifizierung und Verschlüsselung mit Kerberos ist sicherer als der Zugriff über ldaps:// mit Zertifikaten. Für den Zugriff müssen Sie sich lediglich mit „kinit“ ein Ticket ziehen und dann bei der Verwendung der ldb-tools den Parameter „-k yes“ verwenden. Ein ldbsearch würde dann wie folgt aussehen:
– kinit administrator
– ldbsearch -H ldap://addc.example.net „cn=username“ -k yes
Jetzt wird die Authentifizierung und Verschlüsselung mit Kerberos durchgeführt, ein „Man in the middle“-Angriff wird dabei nicht mehr möglich sein.

Ich hoffe dieser kleine Tipp hilft Betroffenen weiter. Mehr zu der Thematik badlock finden Sie hier

This entry was posted in Samba. Bookmark the permalink.